Web應(yīng)用安全測(cè)試可對(duì)Web應(yīng)用程序執(zhí)行功能測(cè)試,找到盡可能多的安全問(wèn)題api自動(dòng)化安全測(cè)試工具,大大降低黑客入侵幾率。
在研究并推薦一些優(yōu)秀的開(kāi)源Web應(yīng)用安全測(cè)試工具之前,讓我們首先了解一下安全測(cè)試的定義、功用和價(jià)值。
安全測(cè)試的定義
安全測(cè)試可以提高信息系統(tǒng)中的數(shù)據(jù)安全性,防止未經(jīng)批準(zhǔn)的用戶訪問(wèn)。在Web應(yīng)用安全范疇中,成功的安全測(cè)試可以保護(hù)Web應(yīng)用程序免受?chē)?yán)重的惡意軟件和其他惡意威脅的侵害,這些惡意軟件和惡意威脅可能導(dǎo)致Web應(yīng)用程序崩潰或產(chǎn)生意外行為。
安全測(cè)試有助于在初始階段解決Web應(yīng)用程序的各種漏洞和缺陷。此外,它還有助于測(cè)試應(yīng)用程序的代碼安全性。Web安全測(cè)試涵蓋的主要領(lǐng)域是:
安全測(cè)試的目的
全球范圍內(nèi)的組織和專業(yè)人員都使用安全測(cè)試來(lái)確保其Web應(yīng)用程序和信息系統(tǒng)的安全性。實(shí)施安全測(cè)試的主要目的是:
為什么我們需要重視Web安全測(cè)試
目前市場(chǎng)上有很多免費(fèi)、付費(fèi)和開(kāi)源工具可用來(lái)檢查Web應(yīng)用程序中的漏洞和缺陷。關(guān)于開(kāi)源工具,除了免費(fèi)之外,最大的優(yōu)點(diǎn)是可以自定義它們,以符合您的特定要求。
以下,是我們推薦的十大開(kāi)源安全測(cè)試列表:
10.
面向滲透測(cè)試人員和管理員的旨在識(shí)別Web應(yīng)用程序中的安全問(wèn)題。該開(kāi)源安全測(cè)試工具能夠發(fā)現(xiàn)許多漏洞,包括:
主要亮點(diǎn):
下載:
9.劫掠者
便攜式旨在掃描小型Web應(yīng)用程序,包括論壇和個(gè)人網(wǎng)站。輕量級(jí)的安全測(cè)試工具沒(méi)有GUI界面,并且使用編寫(xiě)。發(fā)現(xiàn)的漏洞包括:
主要亮點(diǎn):
下載:
8.Iron Wasp
Iron Wasp是一種開(kāi)放源代碼,功能強(qiáng)大的掃描工具,能夠發(fā)現(xiàn)25種以上的Web應(yīng)用程序漏洞。此外,它還可以檢測(cè)誤報(bào)和誤報(bào)。Iron Wasp可幫助暴露各種漏洞,包括:
主要亮點(diǎn):
下載:
7.
是開(kāi)發(fā)的網(wǎng)絡(luò)流量安全測(cè)試工具,一款輕量級(jí)的應(yīng)用程序,能夠檢測(cè)TLS / SSL漏洞和配置錯(cuò)誤。暴露的漏洞包括:
主要亮點(diǎn):
下載:
6.
另一個(gè)值得推薦的開(kāi)源安全測(cè)試工具是。除了公開(kāi)漏洞外,它還用于衡量Web應(yīng)用程序的源代碼質(zhì)量。盡管使用Java編寫(xiě),仍能夠分析20多種編程語(yǔ)言。此外,它可以通過(guò)持續(xù)集成工具輕松地集成到之類的產(chǎn)品中。發(fā)現(xiàn)的問(wèn)題以綠色或紅色突出顯示。前者代表低風(fēng)險(xiǎn)的漏洞和問(wèn)題,而后者則代表嚴(yán)重的漏洞和問(wèn)題。對(duì)于高級(jí)用戶,可以通過(guò)命令提示符進(jìn)行訪問(wèn)。對(duì)于那些相對(duì)較新的測(cè)試人員,有一個(gè)交互式GUI。暴露的一些漏洞包括:
主要亮點(diǎn):
下載:
5.
完全免費(fèi),可以實(shí)現(xiàn)網(wǎng)站數(shù)據(jù)庫(kù)中SQL注入漏洞檢測(cè)和利用過(guò)程的自動(dòng)化。該安全測(cè)試工具附帶一個(gè)功能強(qiáng)大的測(cè)試引擎,能夠支持6種類型的SQL注入技術(shù):
主要亮點(diǎn):
下載:
4.W3af
W3af是最受開(kāi)發(fā)者喜歡的Web應(yīng)用程序安全測(cè)試框架之一。該工具覆蓋Web應(yīng)用程序中超過(guò)200多種類型的安全問(wèn)題,包括:
主要亮點(diǎn):
下載:
3.
是領(lǐng)先的Web應(yīng)用程序安全測(cè)試工具之一api自動(dòng)化安全測(cè)試工具,它是和提供的免費(fèi)的開(kāi)源項(xiàng)目。可執(zhí)行黑盒測(cè)試,檢查Web應(yīng)用程序是否存在安全漏洞。由于是命令行應(yīng)用程序,因此了解使用的各種命令非常重要。對(duì)于經(jīng)驗(yàn)豐富的人來(lái)說(shuō)易于使用,但對(duì)于新手來(lái)說(shuō)卻是一個(gè)的考驗(yàn)。但請(qǐng)放心,您可以在官方文檔中找到所有說(shuō)明。為了檢查腳本是否易受攻擊,注入了有效負(fù)載。該開(kāi)源安全測(cè)試工具同時(shí)支持GET和攻擊方法。暴露的漏洞包括:
主要亮點(diǎn):
下載:
2.Wfuzz
Wfuzz是用開(kāi)發(fā)的,普遍用于暴力破解Web應(yīng)用程序。該開(kāi)源安全測(cè)試工具沒(méi)有GUI界面,只能通過(guò)命令行使用。Wfuzz暴露的漏洞包括:
主要亮點(diǎn):
下載:
1.Zed攻擊代理(ZAP)
ZAP或Zed Proxy由OWASP(開(kāi)放Web應(yīng)用程序安全項(xiàng)目)開(kāi)發(fā),是一種跨多平臺(tái),開(kāi)放源代碼Web應(yīng)用程序安全測(cè)試工具。ZAP用于在開(kāi)發(fā)和測(cè)試階段查找Web應(yīng)用程序中的許多安全漏洞。由于其直觀的GUI,新手和專家都可以輕松使用Zed Proxy。安全測(cè)試工具支持高級(jí)用戶的命令行訪問(wèn)。 除了是最著名的OWASP 項(xiàng)目之一,ZAP還是當(dāng)之無(wú)愧的Web安全測(cè)試旗艦產(chǎn)品。ZAP用Java編寫(xiě)。除了用作掃描程序外,ZAP還可以用來(lái)攔截代理以手動(dòng)測(cè)試網(wǎng)頁(yè)。ZAP暴露的漏洞包括:
主要亮點(diǎn):
下載:
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:-sectv)獲取授權(quán)】
戳這里,看該作者更多好文